USB 3.0を管理する業界団体は、USB-Cの認証プログラムを開始しました。これは、コンパクトでリバーシブルなコネクタをサポートするコンピュータやモバイルデバイスに、不適切なケーブルや悪意のあるデバイスが接続されるのを防ぐためのものです。この団体にはApple、Intel、Microsoftなどが参加しており、この規格が広く採用される可能性は高いでしょう。
USB-C規格の高ワット電力伝送要件を満たしていない安価なケーブルが原因で、火災が発生したり、コンピューターが破壊されたりした事例もあります。また、あまり知られていないサプライヤーのケーブルやアダプターの中には、期待通りの性能を発揮しなかったり、高データレートや高電力を伝送できなかったり、安定して動作しなかったりするものもあります。
悪意のあるUSBハッキングも蔓延しており、USB「スタック」、つまりホストハードウェア上でUSBを管理する低レベルソフトウェアの脆弱性により、データの窃取やコンピューター、スマートフォン、タブレットへの不正侵入を企むエクスプロイトの可能性が明らかになっています。USBケーブルを差し込んだり、USB充電器に接続したりするだけで、ケーブルや充電器に埋め込まれた悪意のあるデバイスがデータを盗み出したり、デバイスを乗っ取ったりする可能性があります。
提案されているソリューションは、「USB Type-C認証プログラム」と呼ばれる暗号技術を基盤としたシステムです。このシステムにより、スマートフォン、タブレット、コンピューターなどのホストハードウェアメーカーは、接続されたデバイスがUSB規格全体を管理する組織であるUSBインプリメンターズフォーラム(USB-IF)によって正当に認定・ライセンスされていることをハンドシェイクプロセスを通じて確認できるようになります。もし正当でない場合、ホストデバイスはポートを完全にロックダウンしたり、接続されたケーブルや周辺機器で利用できる機能を制限したりすることができます。
有料で独自仕様のクローズドシステムをサポートするデバイスのみに接続を制限すると、競争が阻害され、購入者のコストが増加する可能性があるという懸念は当然あります。しかし、このプログラムは任意であり、ホストデバイスメーカー(AppleからZTEまで)が認証の適用方法を選択できるため、メリットとなる可能性が高いと考えられます。
USB-C: 普遍的な混乱
USB-C規格は、あらゆることを簡単にするはずでした。USB 3、Thunderbolt 3、DisplayPortなどの規格を1つのコネクタで伝送でき、どちらの向きでも機能するため、「正しい向き」で挿入する必要もありませんでした。USB-Cは、以前のUSB規格が約束していた、ラップトップ並みの電力(実装によっては最大100ワット)を安定して供給できるという点でも期待されていました。
実際には、USB-Cは少々混乱を招いてきましたが、一部の人が予想したほど、あるいは今でもそう主張しているほどひどいものではありませんでした。古い周辺機器を使用している場合は、アダプタを追加したり、デバイスをアップグレードしたりする必要がありました。USB 3.1とThunderbolt 3の違いについては、依然として混乱が続いています。Thunderbolt 3は接続規格としてUSB-Cを使用していますが、USB-Cを搭載したApple以外のコンピューターやスマートフォンの多くはThunderbolt 3をサポートしていません。(これらの違いについて詳しくは、2016年11月3日の記事「Thunderbolt 3、USB-C、そしてその間のすべてを解説」をご覧ください。)
この混乱と、各プラグに必要なチップの当初の供給不足や、それらを適正に製造するための高額な製造コストが相まって、低品質のケーブルやアダプタのメーカーが粗悪なハードウェアを市場に氾濫させる事態を招きました。
USB-IFは規格、試験、認証の中心的な組織として機能していますが、同団体が一度も評価していない「USB」ラベル付きの機器が大量に出荷されています。特に、Amazonで販売されている「USB」および「USB Type-C」ラベルの機器の多くは、外部機関による試験に合格していません。USB-Cのような複雑な規格においては、こうした対応は必ずしも良い判断とは言えませんが、コスト削減と市場投入までの時間短縮には繋がります。
ある USB-C 100 ワット/5 アンペア ケーブル (何か問題が発生した場合にデバイスを焼き尽くすほどの電力を流すことができる) のメーカーは、認証に関する質問に対して次のように回答しました。
お客様各位、USB-IF認証は一部のケーブルのみ取得しております。すべてのケーブルに認証を取得しているわけではありませんが、品質は同等ですので、安心してご購入ください。ありがとうございます!
その製品のレビューの半分は1つ星から3つ星で、3つ星のレビューはあまり肯定的ではありません。企業は品質を主張できますが、認証は製品が完璧であることを意味するのではなく、品質のギャップを露呈させるものです。
USB-IF の認証プログラムは、まさにこの混乱に対処しようとしています。
認証: ロックアウトかロックインか?
承認されていないデバイスが自分の所有する機器に接続するのをブロックできる暗号化認証情報を割り当てる中央組織を持つシステムは、競争を減らす目的で部分的に設計された可能性があると懸念するのはまったく当然です。
メディアやゲームのデジタル著作権管理(DRM)に反対する議論は、誰もがよく知っています。組織のエコシステムに縛られるということは、その組織の要求に左右され、承認された機器しか使えず、高額な料金を支払うことになる可能性が高いことを意味します。
しかし、USB-IFとそのUSB-C認証プログラムがそのような罠に陥るとは考えていません。認証プログラムは多少のコスト増加をもたらしますが、そのトレードオフは価値があると考えています。この規格は、Appleがビデオに課すセキュリティやAmazonがKindle書籍に課すセキュリティというよりも、WebブラウザがHTTPS接続に提供するセキュリティに近いものです。言い換えれば、組織の利益目標にユーザーを縛り付けるのではなく、ユーザーの利益を守ることに重点を置いたセキュリティなのです。
USB-IFは、ウェブサイトの保護に使用されている公開鍵暗号と同様に、公開鍵暗号を用いた信頼のルートを提供するためにDigiCertを選択しました。USB-Cエコシステムに参加するすべての人が、ウェブサイト運営者が証明機関に証明書を申請するのと同じように、DigiCertから証明書を取得します。
USB-Cプラグを内蔵したケーブル、アダプター、または周辺機器は、その証明書を使用して、機能に関する情報に署名し、検証します。USB-IFがこのプロセスの一部であるため、業界団体によってテストおよび認証された機器のみが、プラグ自体に暗号証明を提供できます。
これにより、たとえメーカーが USB-IF テストに合格したと主張したとしても、認証されていないケーブルを識別し、ホスト デバイスに損傷を与えるのを防ぐことができます。
しかし、この認証アプローチは、許可されていないプラグからのデータをブロックすることで、悪意のあるUSB攻撃を防ぐことも可能です。Appleは、この認証方法の派生版としてUSB制限モードを実装しました。これは、iOSデバイスが過去1時間以内にロック解除されていない場合、データ(場合によっては電源)を遮断します。これはUSB-C認証と同じ効果がありますが、暗号化インフラストラクチャに頼るのではなく、ユーザーによる接続認証が必要です。(「USB制限モードでiOSデバイスの充電がブロックされる可能性」2018年8月6日記事参照)
このプロセスの重要な部分は、MacやiPad Proなどのホストデバイスで実行されます。例えば、将来発売されるMacBook ProがUSB-C認証をサポートするようになった場合、macOSがどのように選択肢を提示するかが問題となるでしょう。
認定されたプラグを挿入すると、macOS は現在とまったく同じように動作すると思われます。つまり、プラグが処理できるとされる電力フローとデータ パスへのアクセスを含め、接続が自動的にネゴシエートされ、検証され、開始されます。
しかし、認証されていないプラグを差し込んだ場合、macOSはどうなるのでしょうか?Appleは次のことをするでしょうか?
唯一確かなことは、Apple や他のオペレーティング システム メーカーがどのような選択をしようとも、すぐには実現しないということだ。
ブロックするには大きすぎる市場
Monopriceのような、ケーブルやアダプターの分野で価格と販売数量で熾烈な競争を繰り広げ、規格や認証プロセスにも関与している企業を考えると、USB-C認証がOSメーカーの承認を得られないデバイスを拒否するための棍棒として使われる可能性は低いでしょう。USBデバイスは既に自己識別機能を備え、特定の特性を持っているため、現状ではそれが可能であり、その詳細は未検証のままです。
この規格は現在展開が始まったばかりで、その後はコンピュータやモバイルデバイスのUSB-C接続を管理するUSBおよびThunderbolt 3コントローラーハードウェアに組み込む必要があります。これには時間がかかり、既に市場に出回っている認証なしのUSB-Cデバイス、ケーブル、アダプター、その他数億点もの製品を考えると、すぐに「認証済みデバイスのみ」というアプローチを採用する企業はないでしょう。
信頼できる企業が製品の出荷数を増やし、価格を引き下げたため、USB-Cのメルトダウンに関する恐ろしい話は減ってきています。しかし、この認証プログラムを通じてUSB-Cの安全性とセキュリティを向上させる必要性は依然として高く評価できます。